Web Access Manager : Spécification (1/2)
Evidian Web Access Manager est un produit en constante évolution fonctionnelle. Fruit de plus de 15 ans de recherche et développement dans le domaine du Web SSO, il s’adapte à un très large éventail d’usages. Les fonctionnalités présentées ne sont pas exhaustives et évoluent à chaque version mineure ou majeure.
Evidian Web Access Manager s’appuie sur le principe 4A, « Authentication. Authorization, Administration, and Auditing”
Méthodes d’authentification primaires
Annuaires Utilisateurs multiples | Support de l’utilisation simultanée de plusieurs annuaires utilisateurs de différents types. Les utilisateurs sont identifiés dans leur annuaire d’origine, et leurs attributs sont extraits de cet annuaire. L’utilisation d’un annuaire de consolidation n’est pas nécessaire, un annuaire peut être défini pour les utilisateurs de différentes organisations. Support des annuaires de type LDAP, Active Directory, ADLDS. |
Authentification primaire | Les utilisateurs sont authentifiés en fonction des données de leur annuaire. L’utilisateur peut avoir le choix de l’annuaire (le domaine) ou la sélection peut être dynamiquement réalisée par WAM. |
Authentification par formulaire | Un formulaire d’authentification personnalisable, dans la langue de l’utilisateur est proposé pour l’authentification primaire. |
Authentification Basic | L’authentification HTTP Basic est supportée. |
Authentification par Certificat X509v3 | Le certificat X509v3 présenté par le navigateur est utilisé pour l’authentification. La correspondance entre le certificat et l’utilisateur dépend des attributs de l’utilisateur et du certificat. Cette correspondance est paramétrable. Les certificats sur tokens USB ou cartes à puce associées au navigateur client sont supportés. |
Authentification Kerberos | Les utilisateurs déjà authentifiés dans un domaine Windows ne doivent pas se ré authentifier. S’ils ne sont pas déjà authentifiés, une authentification kerberos est demandée. Cette fonctionnalité nécessite un serveur IIS annexe. |
Authentification RADIUS | La phase d’authentification est déléguée à un serveur RADIUS externe. Le mapping des identifiants RADIUS est paramétrable. Les tokens OTP et les calculettes d’authentification sont supportés, Evidian Web Access Manager a passé la certification RSA SecureID, et est compatible avec tout type de solution d’authentification supportant une interface RADIUS. |
Authentification SAML frontale | Un équipement frontal peut réaliser une authentification primaire à la place de Evidian Web Access Manager et fournir la preuve d’authentification sous la forme d’échange SAML et d’une assertion SAML. C’est le cas avec les équipements réseaux Juniper. |
Authentifications chainées | Toutes les méthodes d'authentification sont chaînables pour créer une authentification en plusieurs étapes et multi-facteurs. |
Authentifications sociales | Les principaux réseaux sociaux (Facebook, twitter, googleplus, linkedin, microsoft, …) sont préconfigurés. Indépendamment des protocoles utilisés (OpenId, OpenId Connect, Oauth2.0), les authentifications sociales peuvent être activées avec les informations délivrées par les différents fournisseurs d'identités. Ces authentifications peuvent être chainées, associées à des niveaux différents, filtrées en fonctions des réseaux d'accès, ou proposées comme choix d'authentification aux utilisateurs en fonction de leurs moyens d'authentification. |
Expiration des sessions d'authentifications | Lorsqu'une authentification de niveau élevé expire, la session d'authentification peut malgré tout rester active en utilisant les propriétés d'une politique d'authentification de niveau plus faible. |
Authentification par SMS ou par Mail | Un OTP est envoyé par SMS ou par courrier électronique, à l'utilisateur. Web Access Manager s'appuie sur des serveurs de SMS externes accessibles grâce à des URLs de service, ou sur les serveurs SMTP de l'entreprise. |
Mot de passe par grille | Les utilisateurs s'auto-enregistrent et obtiennent, après vérification, par courriers électronique, leur grille personnelle. Les utilisateurs utilisent cette grille pour résoudre le challenge proposé par le serveur lors de la phase d'authentification . L'utilisateur doit entrer sa réponse en utilisant une matrice à placement aléatoire des chiffres pour contrer d'éventuels " key logger " sur son poste non-maitrisé. Cette méthode d'authentification peut être chainée pour créer une authentification multi-facteurs en plusieurs étapes. |
QRentry | L’authentification QRentry est soit partagée avec E-SSO/Authentication Manager soit déployée seule dans Web Access Manager. Seuls les téléphones enrôlés peuvent résoudre un challenge présenté sous forme de QR-Code. Web Access Manager propose une interface d’enrôlement qui peut être authentifiée en utilisant une authentification SMS ou tout autre méthode d’authentification. |
Support des serveurs CAS | Web Access Manager peut utiliser les serveurs d'authentifications centralisées CAS (Central Authentication Service) déjà déployés et ainsi déléguer la phase d'authentification. Les mécanismes de choix d'authentifications, de filtrages, ou de multi-niveau s'appliquent aussi à ces modes d'authentifications externes. |
Authentification frontale Header HTTP | Un équipement frontal peut réaliser une authentification primaire à la place de Evidian Web Access Manager et fournir des données sur l’identité de l’utilisateur dans les « headers » HTTP de chaque requête. Evidian Web Access Manager effectuera la recherche de l’utilisateur dans les annuaires des utilisateurs en fonctions des données des « headers » et des règles de correspondances des attributs LDAP. L’utilisateur ne devra pas s’authentifier à nouveau dans Evidian Web Access Manager. |
Authentification SAML « Service Provider » | Lorsque Evidian Web Access Manager est configuré en mode « Service Provider », le mécanisme d’échange d’assertions SAML avec un « Identity Provider » d’un autre domaine SAML de confiance, permet d’utiliser l’assertion SAML comme preuve d’authentification. |
Authentification custom | Software Development Toolkit pour intégrer rapidement un nouveau mode d’authentification dans Evidian Web Access Manager. Des guides, des tutoriels et des exemples sont livrés avec le produit. |
Authentification OpenId | Basé sur le SDK d’authentification custom, les composants nécessaires préconfigurés sont livrés avec le produit. |
Authentification OAuth 1.0 | Basé sur le SDK d’authentification custom, les composants nécessaires préconfigurés sont livrés avec le produit. |
Multi niveaux d’authentification | Les politiques d’authentification peuvent être hiérarchisées. Certaines URLs ou services peuvent être protégés avec des niveaux plus élevés et demander des ré-authentifications ou des authentifications plus fortes. |
Choix de la méthode d’authentification | L’utilisateur peut choisir sa méthode d’authentification en fonction des moyens d’authentification dont il dispose. |
Expiration des mots de passe | La politique de sécurité peut exiger un renouvellement périodique des mots de passe primaires, et générer des alertes visuelles ou par mails lorsque le mot de passe est sur le point d’expirer. |
Robustesse des mots de passe | La politique des mots de passe peut exiger un niveau de complexité paramétrable des mots de passe et vérifier la non réutilisation d’anciens mots de passe lors de leur renouvellement. |
Gestion des sessions | Tout au long de l’activité de l’utilisateur, Evidian Web Access Manager gère la session unique de l’utilisateur et contrôle les délais d’expiration des authentifications et les périodes de ré-authentification, conformément à la politique d’authentification. |
Déconnexion et fermetures applicatives | Lors de la déconnexion de l’utilisateur, les URLs de déconnexion applicatives des serveurs protégés sont sollicitées. Evidian Web Access Manager clôt la session de l’utilisateur. |
Vérification quotidienne de l’expiration des mots de passe primaires | A un horaire programmé, des mails peuvent être envoyés aux utilisateurs avant expiration de leur mot de passe. |
Contrôle d’accès, autorisations, SSO et injections de données
Access Control Zone | Chaque service regroupant un ensemble d’URLs de plusieurs serveurs web protégés, peut être isolé dans une zone à control d’accès limité à certains utilisateurs. Deux zones par défaut sont créées, la zone « publique » sans authentification, et la zone « contrôlé » regroupant l’ensemble des utilisateurs authentifiés. L’administrateur peut créer de nouvelles zones et les peupler avec des groupes d’utilisateurs ou des utilisateurs individuels. |
Groupe dynamique d’utilisateurs | Les groupes statiques définis dans les annuaires utilisateurs sont utilisables dans le peuplement des « Access Control Zone ». Les groupes dynamiques représentent une liste d’utilisateurs qui contiennent un ensemble de caractéristiques ou attributs, ces groupes sont évalués dynamiquement et suivent donc l’évolution des droits des utilisateurs. |
Autorisation | Le contrôle d’accès est réalisé sur chaque URL en vérifiant si l’utilisateur fait bien parti de la zone de sécurité et possède le bon niveau d’authentification pour accéder au service. Les autorisations sont dynamiques et évoluent en fonction du résultat de l’évaluation des groupes dynamique qui composent les zones d’accès. |
Authentifications Secondaires et Single Sign-On | Les données d’authentifications secondaires sont extraites des bases de comptes secondaires associées aux applications, ou des données primaires de l’utilisateur.
Les bases de comptes secondaires peuvent être provisionnées grâce à I&AM, à l’import de fichiers CSV, de fichiers LDIF, ou d’applications externes s’appuyant sur un Web Service de provisionnement ou d’une API Java. L’utilisateur peut aussi effectuer lui-même le provisionnement de ses comptes dans sa zone d’administration personnelle ou à la demande lorsque Evidian Web Access Manager le lui demande. |
Authentification secondaire par formulaire | Les identifiants, les mots de passe, et les données additionnelles sont automatiquement injectés dans les formulaires des applications protégées. WAM détecte les formulaires, les remplit sans faire « remonter » les mots de passe vers le navigateur client, et les soumet dynamiquement, sans intervention de l'utilisateur. Grâce à son puissant moteur d’analyse des données du flux HTTP, Evidian Web Access Manager peut manipuler tous types de formulaires en analysant et en modifiant, le cas échéant, dynamiquement le contenu des pages HTML. Aucune modification des applications protégées n’est nécessaire. |
Authentification secondaire HTTP Basic authentification | L’authentification protocolaire HTTP est détectée et automatiquement satisfaite. Un compte secondaire ou l’identifiant primaire est injecté automatiquement. |
Authentification secondaire « Windows Authentification Intégrée IIS » | Ce mode d’authentification est spécifique aux serveurs Microsoft IIS en utilisant une authentification forte de type Kerberos ou NTLMv2. Evidian Web Access Manager détecte automatiquement le type d’authentification et le type de serveur protégé et injecte un compte secondaire ou primaire. |
Injection de données | Toutes les données connues sur les utilisateurs, provenant de ses attributs personnels ou de son contexte de session, sont injectables dans les entêtes HTTP, dans les requêtes HTTP, ou dans le contenu de la réponse du serveur protégé. Certaines de ces données peuvent être encodées en base64 en fonction des besoins et de l’usage de l’application. |
Authentification secondaire dans le flux HTTP | Evidian Web Access Manager est capable d’injection des données issues des bases de comptes secondaires dans les flux HTTP. Cette capacité permet de gérer les mécanismes d’authentification de certaines applications non-HTML, comme les applications Adobe Flash/Flex qui échangent les identifiants entre le client dans le navigateur et le serveur applicatif.
Ce même mécanisme est utilisé pour gérer les authentifications dans le protocole Microsoft ActiveSync. |
Renouvellement des mots de passe secondaires | Les formulaires de renouvellement de mots de passe des applications protégées sont détectés. Les formulaires sont automatiquement remplis et de nouveaux mots de passe respectant la politique des mots de passe secondaires (complexité et historique) sont auto-générés. |
Détection des mauvais mots de passe secondaires | A l’issu de tentatives de connexion infructueuses vers une application protégée, la détection des mauvais mots de passe secondaires, invite l’utilisateur à effectuer un auto-provisionnement si ce service est activé. |
Utilisation des bases de comptes E-SSO | Grâce à l’option Mobile E-SSO, Evidian Web Access Manager peut utiliser les bases de comptes secondaires déjà provisionnés grâce à E-SSO. La séquestration des mots de passe primaires permet d’injecter l’identifiant primaire et son mot de passe Active Directory sans que l’utilisateur ne le connaisse, comme par exemple lorsque l’utilisateur utilise une authentification forte par token, mais que le mot de passe primaire est nécessaire pour l’accès à Outlook Web Access. |
Interface utilisateur, customisation et principales APIs
Interface d’accueil utilisateur personnalisable | L’interface web d’accueil utilisateur regroupe tous les services accessibles à l’utilisateur après authentification. Ces services peuvent être répartis sur plusieurs instances de « portal », « remote web agent », sur une ou plusieurs machines. Toutes les interfaces sont personnalisables pour respecter l’identité graphique de l’entreprise, et partiellement intégrable dans un portail de l’entreprise protégé par Evidian Web Access Manager. L’interface d’accueil est nativement multilingue et peut être facilement adaptée à l’affichage sur téléphones mobiles ou tablettes. |
Auto gestion des données utilisateurs, multi comptes et délégation | L’utilisateur peut, au travers de son interface de gestion de son profil, modifier ses informations personnelles, modifier ses mots de passe secondaires, modifier ses questions de mot de passe perdu, modifier son mot de passe primaire, ou choisir ses mots de passe secondaires et son rôle dans le cas d’utilisation d’application multi comptes.
Lorsque l’option Mobile-E-SSO est disponible, l’utilisateur a accès à ses comptes délégués et au portail de délégation E-SSO. |
Auto enregistrement des utilisateurs | Les utilisateurs peuvent s’auto enregistrer sur le portail Evidian Web Access Manager. Ils seront dynamiquement créés dans l’annuaire des utilisateurs et leurs informations seront collectées. Les panneaux d’auto enregistrement sont entièrement personnalisables, le choix des attributs à collecter, l’apparence, l’annuaire et la branche de collecte sont paramétrables. Grâce à la gestion multi annuaires, les utilisateurs auto enregistrés, peuvent se déclarer dans un annuaire dédié et obtenir des droits différents des utilisateurs provisionnés ou déjà existants dans d’autres annuaires. |
API de Post-Authentification | Des modules peuvent être intégrés pour effectuer des traitements supplémentaires après authentification, et valider ou non l’authentification selon des schémas propre à l’environnement de l’entreprise. |
API de Post-Autorisation | Les mécanismes d’autorisation peuvent être étendus par intégration de modules utilisant une logique et des mécanismes propres à l’environnement de l’entreprise. |
API de gestion du SSO et de gestion des Identités | Des APIs permettent de dérouter les différents points de prise de décisions dans l’injection des données secondaires ou dans la gestion de l’identification des utilisateurs.Toutes ces APIs sont documentées et illustrées par des exemples concrets, elles permettent l’ouverture d’Evidian Web Access Manager vers des mécanismes externes. |
Infrastructure, haute disponibilité et partage de charge
Reverse Proxy | Les composants principaux de Evidian Web Access Manager sont des reverse-proxy HTTP/HTTPS. Ces reverse proxy possèdent des capacités évoluées de translation d’URLs dans les entêtes protocolaires ou en profondeur dans le contenu des requêtes. Les cookies, ou les paramètres javascript sont aussi traités pour masquer complètement toutes références aux serveurs protégés. Les applications protégées contiennent parfois des URLs absolues ou non-relatives à la racine, elles seront correctement réécrites avec des URLs externes.
Les applications n'ont pas besoins d’être modifiées, même si elles ne respectent pas les standards d’écritures modernes. Cette technologie permet de modifier, supprimer, ou ajouter des éléments aux pages web délivrées aux navigateurs clients. |
Annuaire utilisateurs | Evidian Web Access Manager s’appuie sur le concept de multi annuaire utilisateurs. Il utilise simultanément plusieurs sources d’identités réparties dans plusieurs annuaires. Chaque annuaire peut être lui-même utilisé en mode haute disponibilité ou partage de charge, s’il dispose de replicats ou de plusieurs contrôleurs de domaine dans de cas d’Active Directory. |
Compatible avec les Forward Proxy | Certaines applications protégées peuvent être accessible qu’au travers d’un Forward-Proxy, c’est notamment le cas des applications externes. Evidian Web Access Manager prend en compte la présence des Forward Proxy et peut injecter une authentification primaire ou secondaire si ces proxy nécessitent une authentification. |
Frontal reverse-proxy | Un Reverse-Proxy jouant le rôle de WAF (Web Application FireWall) peut être positionné devant Evidian Web Access Manager. Grâce au moteur de translation d’URLs, les URLs sont renommées directement avec le nom externe de ce Reverse-Proxy, lui facilitant ainsi la tâche. |
Multi-passerelles | Le déploiement sur plusieurs machines au sein d’une même et unique configuration, permet de contrôler plusieurs points d’accès et de respecter les contraintes géographiques, organisationnelles ou de répartition de charge. |
Architecture résiliente | Les composants internes de Evidian Web Access Manager sont déployables en plusieurs exemplaires, le couplage avec E-SSO ou I&AM peut être multiple pour assurer un partage de charge et une haute disponibilité. |
Option SafeKit : Haute disponibilité et partage de charge | En option, SafeKit permet d’assurer un partage de charge et une haute disponibilité transparente sur les passerelles Evidian Web Access Manager et une haute disponibilité sur son annuaire de configuration dédié. |
Installation et mise à jour facilitées | Evidian Web Access Manager est un produit packagé qui s’installe sur toutes les plateformes grâce à un installeur graphique simple et rapide, ou en ligne de commande pour les machines hébergées sans console graphique déportée. Les mises à jour utilisent le même installeur, et ne sont pas destructrices de la configuration courante, elles permettent d’obtenir les nouvelles fonctionnalités et les correctifs conformément à la politique de support Evidian. Les configurations sont exportables et importables, et les passages des phases de pré-production à production sont facilités. Evidian Web Access Manager est indépendant du système sur lequel il est installé, aucun composant additionnel n’est nécessaire, il peut être installé sur un système nu fraîchement installé et virtualisé. |
Orbion
Evidian s'occupe de tout ce qui concerne votre gestion des identités et des accès avec Orbion (Identité en tant que service)
Identity Governance and Administration
Gérez les accès et les autorisations de tous vos utilisateurs dans votre entreprise
Web Access Manager
Passerelle pour les applications Web avec SSO, authentification multifacteur, fédération d'identité
Authentication Manager
Authentication Manager
Authentification multifacteur & sans mot de passe sur les PCs Windows d'une entreprise
Enterprise Single Sign-On (SSO)
Accès sécurisé aux applications métiers et web sur les PCs & mobiles avec le SSO
Self Service Password Reset (SSPR)
Réinitialisez les mots de passe Windows en ligne ou hors ligne